Kansalliset auditointivaatimukset terveydenhuollon organisaatioille

Transkriptio

1 Kansalliset vaatimukset terveydenhuollon organisaatioille Versioon 2.0 on käsitteet resepti ja reseptikeskus muutettu asiakirjoiksi ja kansallisiksi palveluiksi. Auditoinnissa voidaan rajoittua käyttöönotettaviin palveluihin (sähköinen resepti/arkisto) Muokattu kommenttien perusteella Toiminnalliset vaatimukset # Kriteeri / Organisatoriset vaatimukset 1 Sisäinen päätös liittymiselle Organisaation sisäinen hallinnollinen päätös liittymisestä Reseptikeskukseen tai potilastiedon arkistoon/ KanTa-palvelujen käyttäjäksi on tehty. 2 Auditoitu järjestelmä Organisaatiossa on käytössä palvelun sisällön mukaisesti auditoitu KanTa-palveluiden vaatimukset täyttävä järjestelmä, joka on parametroitu sähköisen lääkemääräyksen ja potilastiedon arkiston vaatimusten mukaisesti. 3 Tietoturvapolitiikka Organisaatiolle on laadittu tietoturvapolitiikka ja se on otettu käyttöön. Tarkastetaan, että organisaatio on tehnyt sisäisen hallinnollisen päätöksen liittyä Reseptikeskukseen tai potilastiedon arkistoon / KanTa-palvelun käyttäjäksi. Esimerkiksi sitoumus käyttöönottoprojektin aloittamisesta, joka viedään tiedoksi esimerkiksi terveyslautakuntaan. Tarkastetaan, että organisaatiolla on käytössään käyttöönotettavan palvelun sisällön mukaisen auditoinnin läpäissyt järjestelmä. Tarkastetaan, että organisaatiolla on voimassaoleva ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden ja kansallisten vaatimusten saavuttamiseksi. Organisaation vaatimukset 1

2 # Kriteeri / 4 Nimetty tietosuojavastaava 5 Ohjeet potilastietojen käsittelystä Organisaatiolle on nimetty tietosuojavastaava ja Tarkastetaan, että organisaatiolle on nimetty hänen toimenkuvansa on määritelty. tietosuojavastaava ja hänen toimenkuvansa Organisaatiossa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle. Organisaatio on huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä. 6 Henkilökunnan koulutus Organisaatio on kouluttanut henkilökunnan potilastiedon arkiston ja sähköisen lääkemääräyksen toimintamallien käyttöönottoon ja organisaation käytössä olevien potilastietojärjestelmien käyttöönotettaviin toiminnallisuuksiin. 7 Tietosuojan valvonta Organisaatiolla on laadittuna tietosuojaan liittyvä seuranta- ja valvontasuunnitelma tai se on ottanut käyttöön Kelan laatiman tietosuojaohjeen. on määritelty. Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä. Tarkastetaan, että organisaatio on kouluttanut henkilökunnan uuden toimintamallin käyttöönottoon - esim. reseptin uusimismenettely, suostumusmenettelyt, potilastiedon arkisto. Koulutus on voinut pohjautua esim. yksityiskohtaisiin toimintamalleihin valtakunnallisessa ohjeessa: ereseptin toimintamallit ja Potilastiedon arkiston toimintamallit. Organisaatiolla on toimintamalli uusien työntekijöiden kouluttamiseen. Tarkastetaan, että organisaatiolla on Kelan laatiman ohjeen mukainen tietosuojaan liittyvä seuranta- ja valvontasuunnitelma (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu toimittavan, jos väärinkäytöksiä ilmenee. Huom! Opiskelijoiden tekemien merkintöjen hyväksyminen. Sanelujen hyväksyminen. Lisätty toimintamalli uusien työntekijöiden kouluttamiseen. Organisaation vaatimukset 2

3 8 Yksityisten lääkäriasemien toimintayksiköiden ja ammatinharjoittajien vastuut Tekniset vaatimukset Organisaatiolla on toimintamalli sen järjestelmiä Yksityisen lääkäriaseman liittymisessä käyttävien omien toimintayksiköiden ja Reseptikeskukseen tai potilastiedon mahdollisten ulkopuolisten ammatinharjoittajien arkistoon on lisäksi sovittava kirjallisesti keskinäisten vastuiden osalta. miten sen järjestelmiä mahdollisesti käyttävät toimintayksiköt tai ammatinharjoittajat liittyvät mukaan, ja miten lääkäriaseman ja tiloissa toimivien keskinäiset vastuut jakaantuvat. 9 Viestinvälityksen sopimukset ja lainsäädäntö Viestinvälityksen / tietoliikenteen tietosuojaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa organisaation ja viestinvälitysoperaattorin välistä sopimusta. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei-suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Tarkastetaan, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset (liikenteen salaukseen ja luottamuksellisuuteen liittyvät vaatimukset ptj-vaatimuksissa) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. 10 Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. Käytettävien tietoliikenneyhteyksien tietoturva tulee olla toteutettu organisaation tietoturvapolitiikan mukaisesti ja siten, että organisaation oman tietoturvapolitiikan, Kelan laatiman KanTa-tietoliikenteen tietoturva - dokumentin sekä tämän kriteeristön vaatimukset toteutuvat. Tämän toteutuminen tulee myös Organisaation vaatimukset 3 Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla. Tarkastetaan, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja tämän vaatimusdokumentin asettamat vaatimukset. Tarkastetaan, että toimintayksikön käyttämässä potilastietojärjestelmässä Täsmennetty ptj:n ja

4 11 Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä 12 Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin ja muuhun potilastietojen käsittelyyn liittyvän oikeuden asettaminen sekä oikeuksien ja rajoituksien tarkistaminen) varmistaa sopimuksin. sanomien siirtämisessä käytetään salattua https-protokollaa two-way SSL -tavalla. Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto. Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen, valtakunnalliseen potilastiedon arkistoon ja muuhun potilastietojen käsittelyyn liittyviä toimintoja ja reseptikeskuksen tietoja, tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa/lokia. Tarkastetaan toimintayksikön varmennepolitiikka. Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat. Tarkastetaan, että on olemassa sähköinen tai muu ajantasainen kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet. organisaation välisiä vastuita. Myös TSL-toteutus on hyväksyttävä. Kts. vaatimukset potilastietojärjestelmille kohta 5. Organisaation vaatimukset 4

5 13 Käyttöoikeuksien jako ja hallinta Terveydenhuollon toimintayksikön on omalta Tarkastetaan osaltaan seurattava ja valvottava, että käyttöoikeuksienhallintaprosessi / potilastietojärjestelmässä ja potilastiedon menetelmät: Mihin ja miten haetut, arkistossa sekä reseptikeskuksessa olevia tietoja myönnetyt ja olemassa olevat voivat katsella ja käsitellä vain siihen oikeutetut käyttöoikeudet dokumentoidaan? Mistä henkilöt. Järjestelmät estävät ei-sallitun käytön käyttöoikeuksien oikeellisuus on silloin, kun se on teknisesti mahdollista, ja varmistettavissa? organisaation ohjeet ja toimintatavat ohjaavat oikeaan toimintaan ja käsittelyyn. Tietojärjestelmäasiantuntijoilla ei ole oikeutta KanTa-palveluissa olevien tietojen käsittelyyn (esim. luovutushaku ja asiakirjan hakeminen omaan käyttöön). Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. Ne henkilöt/roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä, tulee olla dokumentoitu. Organisaation tietojärjestelmästä tulee olla laadittuna dokumentoidut käyttöoikeudet rajauksineen. Tarkastetaan organisaation toimintaohjeet potilastietojen ja reseptikeskuksen tietojen käsittelyn osalta sekä todennetaan seuranta ja valvonta, esim. valvontasuunnitelman olemassaolon toteaminen. Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Täsmennetty ptj:n ja organisaation vastuita yhteiskäyttöisten tunnusten osalta. Lisätty tietojärjestelmäasiantuntijoista maininta. Huomattava, että asiakirjojen korjaaminen tapahtuu potilastietojärjestelmässä, joka toimittaa korjatun ja versioiden asiakirjan KanTaan. 14 Vastuiden määrittely Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset Tarkastetaan osapuolten välisistä sopimuksista että vastuut toiminnallisuuden, Organisaatio + ATK-tekninen Organisaation vaatimukset 5

6 ammatinharjoittajat, ohjelmistoyritykset ja tietoturvallisuuden ja tietoliikenneoperaattorit) vastuut tulee olla yhteistoiminnallisuuden osalta on selkeästi selkeästi määritelty toiminnallisuuden, määritetty sopimuksiin. tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tällä voidaan tarkoittaa esim. olemassa Tarkastetaan eri osapuolten olevien kolmikantasopimusten (thorganisaatio/teleoperaattori/järjestelmätoimittaja) palvelukuvaukset ko. toimintojen osalta. tapaisia vastuiden määrittelyjä. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksianto- tai muissa sopimuksissa tai niiden liitteissä. Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita. 15 Muutostenhallintaprosessi Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Muutostenhallintaprosessin tulee sisältää ainakin: - testauskäytännöt - hyväksymiskäytännöt - muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla. Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi. Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu. Huom! Uusia KanTa-palveluita tai niiden ominaisuuksia käyttöönotettaessa version yhteistestaus ja Organisaation vaatimukset 6

7 # Kriteeri / 16 Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta Organisaatiolla on oltava olemassa toimiva Tarkastetaan, että vaaditut prosessit ja prosessi ja toimintatavat seuraaviin toimintatavat ovat olemassa tietoturvallisuuden kannalta keskeisiin osaalueisiin: (dokumentoidusti), ne ovat henkilöstön tiedossa ja niiden mukaan toimitaan. - tietoturvapoikkeamien havainnointi ja eskalointi (incident management). - tietojärjestelmien käytön seuranta Tarkastetaan, että organisaatiolla on (lokienanalysointiproseduurit). lokivalvontasuunnitelma ja että sitä Erityisesti erityissuojattavien tietojen katselua sekä noudatetaan, ja että Seuranta on erityiseen syyhyn (teknistä varmistusta säännönmukaista ja tulokset hoitosuhteesta ei ole) perustuvaa potilastietojen dokumentoidaan. katselua seurataan ja valvotaan. 17 Virhetilanteiden hallinta Virhe- ja poikkeustilanteiden varalta tulee olla dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma ja häiriötilanneohje). Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. Tarkastetaan toipumissuunnitelmien ja häiriötilanneohjeiden olemassaolo. Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan ja miten niistä tiedotetaan. Organisaatio ATK-tekninen Organisaatio ATK-osasto. 18 Lokitietojen muuttumattomuus [Tarkennus: Apteekkien tapauksessa KELAa koskeva vaatimus ei sovellu]. Lokitietojen luomisen ja käsittelyn prosessin tulee taata, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Esim. Vahti 3/2009. Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään. Tarkastetaan miten järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja Organisaation vaatimukset 7

8 19 Käyttäjätunnusten yksilöllisyys Järjestelmissä ei saa olla yhteiskäyttöisiä Tarkastetaan järjestelmän käyttäjätunnukset tunnuksia potilaskertomuksen merkintöjen että käytössä on vain yksilöllisiä tunnuksia. tekemiseen, katseluun tai sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito- ja muista vastaavia voimakkaita käyttöoikeuksia. 20 Verkkoyhteyden suojaus Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. 21 Hallintayhteydet järjestelmään Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana. Mikäli järjestelmään ylläpidollisista tai muista syistä sallitaan etäyhteyksiä, yhteydet järjestelmään tulee olla toteutettu turvallisesti. Lisäksi etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. 22 Järjestelmän ylläpito Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on). Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut. Selvitetään miten mahdolliset etäyhteydet järjestelmään on toteutettu. Tarkastetaan, miten järjestelmät määritellään ja testataan ennen käyttöönottoa. Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset. Organisaation vaatimukset 8

9 Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön asentamista. 23 Tunnistautuminen järjestelmiin Muut pakolliset vaatimukset Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja wwwsovellusten haavoittuvuuksilta (esim. OWASP top 10). Järjestelmiin tulee sallia kirjautuminen sähköiseen reseptiin ja valtakunnalliseen potilastiedon arkistoon liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Salasanalla tunnistautuessa voi käyttää ainoastaan organisaation potilastietojärjestelmän sisältämiä potilastietoja. Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (varmennekortti) tai vahva salasana. Salasanan käytön perustelut tarkastetaan. Tarkastetaan, että tuotantoympäristössä edellytetään vahvaa salasanaa (salasanaparametrit). Vahvan salasanan parametrit: Minimipituus 8 merkkiä, vaaditaan kompleksista salasanaa (erikoismerkkejä, numeroita ja isoja/pieniä kirjaimia), salasanahistoria min. 12 edellistä salasanaa, salasanan maksimi-ikä 40 pvä, minimi-ikä 1 pvä, väärien kirjautumisyritysten maksimimäärä 5 yritystä, jonka jälkeen tunnus lukkiutuu eikä avaudu automaattisesti. Vanhenemisvaatimukset eivät koske teknisten tunnusten salasanoja. 24 Istunnon katkaisu Kertomusjärjestelmän käyttöliittymä tai työasema on lukittava, kun käyttäjä ei käytä sitä aktiivisesti 30 minuutin kuluessa. 30 minuutin jälkeen pitää Tarkistettava, että toimintayksikössä on käytössä joko kertomusjärjestelmän käyttöliittymän lukitus tai Täsmennetty ptj:n ja organisaation vastuita. Organisaation vaatimukset 9

10 antaa PIN-uudelleen. työasemakohtainen lukitus. 25 Potilaan informointi Terveydenhuollon toimintayksikön tai lääkkeen määrääjän on informoitava potilasta sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Informointikäytännöt on määritelty ja käyttäjien tiedossa. Siirretty ptj-vaatimuksista. 26 Sosiaalihuollossa syntyvien tietojen Kantaan tallentamisen estäminen Potilasta tulee informoida valtakunnallisesta arkistosta ja siihen liittyvistä suostumuksista ja kielloista. Sosiaalihuollossa syntyviä ja sosiaalihuollon rekistereihin kuuluvia potilastietoja ei toistaiseksi tallenneta Kantaan. Toimintayksikön on varmistettava, että ko. tiedot erotetaan potilastietojärjestelmässä siten, että tiedot eivät tallennu Kantaan. Tarkistettava, että sosiaalihuollossa muodostuvat potilastiedot on erotettu potilastietojärjestelmässä siten, että ne eivät tallennu Kantaan Uusi vaatimus Organisaation vaatimukset 10